Description

Canon Canada Inc. a récemment découvert une vulnérabilité dans l’interface de gestion à distance accessible depuis un navigateur de ses imprimantes laser et appareils multifonctions de petit bureau répertoriés ci-dessous, dans la liste des modèles touchés. Cette vulnérabilité pourrait être exploitée par un tiers disposant de droits d’administrateur, qui serait alors en mesure d’accéder aux données sensibles du produit en envoyant des requêtes ciblées au moyen de la fonction de gestion à distance accessible depuis un navigateur.

 

Produits touchés**

• imageFORCE
• imageRUNNER ADVANCE
• imagePRESS Lite
• imagePRESS
• imageCLASS X

** Consultez le tableau figurant à la fin du présent avis pour en savoir plus sur les modèles touchés et les micrologiciels corrigés.

N.B. : S’il s’avère que d’autres produits sont touchés par cette vulnérabilité, nous mettrons à jour le présent avis d’information.

 

Atténuation/correction

Des micrologiciels conçus pour remédier à cette vulnérabilité seront fournis dans le cadre de mises à jour automatiques ou mis à disposition sur le site Web d’assistance de Canon U.S.A. Bien qu’aucun incident exploitant cette vulnérabilité n’ait été confirmé à la date de publication du présent avis d’information, nous vous recommandons d’appliquer les contre-mesures ci-dessous lorsque vous utilisez votre produit.

1. Ne connectez pas le produit directement à Internet. Utilisez plutôt un réseau privé sécurisé comprenant un pare-feu et un routeur filaire ou Wi-Fi, et veillez à ce qu’une adresse IP privée soit configurée. 
2. Si le produit est livré avec un mot de passe par défaut, modifiez-le.
3. Si le produit permet de configurer des identifiants et des mots de passe distincts pour l’administrateur et les autres utilisateurs, faites-le.
4. Choisissez des mots de passe et des valeurs d’authentification difficiles à deviner.
5. Si le produit propose des fonctions d’authentification, activez-les et gérez les utilisateurs autorisés à accéder au produit.
6. Si le produit propose l’authentification multifacteur, activez-la et gérez les utilisateurs autorisés à accéder au produit.
7. Veillez à ce que la sécurité physique du produit soit suffisante, y compris dans son environnement d’installation.

Consultez ce site Web pour en savoir plus sur la sécurisation des produits connectés à un réseau.

 

CVE/CVSS

CVE-2026-1789 : Une vulnérabilité dans l’interface de gestion à distance accessible depuis un navigateur pourrait permettre à un tiers disposant de droits d’administrateur d’accéder aux données sensibles stockées dans l’appareil en envoyant des requêtes ciblées, ce qui aurait des répercussions sur certaines imprimantes de production et certains appareils multifonctions de bureau ou de petit bureau.

CVSS v. 4 CVSS 4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N  Cote de base : 6.9

CVSS v. 3 CVSS 3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N  Cote de base : 4.9

 

Canon tient à remercier les chercheurs suivants pour avoir mis au jour cette vulnérabilité :

• CVE-2026-1789 : Hengrui Wang et Ranganatha Rao Sridhar, ingénieurs chez Praetorian.

 

Modèles et micrologiciels corrigés